Stefan Frey01.06.2004 Stefan Frey Berufsakademie L¶rrach –ffentliche HotSpots

  • View
    113

  • Download
    4

Embed Size (px)

Text of Stefan Frey01.06.2004 Stefan Frey Berufsakademie L¶rrach –ffentliche HotSpots

  • Folie 1
  • Stefan Frey01.06.2004 Stefan Frey Berufsakademie Lrrach ffentliche HotSpots
  • Folie 2
  • Stefan Frey01.06.2004 berblick
  • Folie 3
  • Stefan Frey01.06.2004 Einleitung
  • Folie 4
  • Stefan Frey01.06.2004 an Orten wo klassische Kabelvernetzungen von Computern zu teuer oder unmglich ist, werden immer mehr WLANs eingesetzt WLAN heit Wireless Local Area Network drahtlose lokale Netzwerke mit einer Reichweite von 20 bis 100 Metern nicht zwingend statisch sondern auch temporr (Messen, OpenAirs) Hlfte der beruflich genutzten Notebooks mit WLAN als Standardfunktionalitt ausgestattet Ohne Kabelverbindung frei bewegen mit kompletten Zugriff auf Resourcen und Applikationen des Firmennetzwerks Sicherheit aufgrund bertragsmedium Funk stellt Risiko dar Chancen und Risiken von WLAN`s
  • Folie 5
  • Stefan Frey01.06.2004 Die neuen Mglichkeitensollen nach erfolgreicher Anwendung in Heim u. Office Bereich nun auch an ffentlichen Pltzen gefordert ffentlicher Internetzugang Informationsgewinnung, Verbindungen via Internet ins Firmennetzwerk, E-Mails, stupides surfen Wartezeiten sinnvoll nutzen, bentigte Resourcen abfragen Nachfrager: Geschftsreisende aber auch Privatanwender Orte: Flghafen, Bahnhfe, Hotels, Restaurant, Cafs, Ballungszentren berleitung HotSpots
  • Folie 6
  • Stefan Frey01.06.2004 Ein HotSpot bezeichnet ein lokal aufgebautes Netzwerk an einem ffentlichen Ort mit Zugang zum Internet Nutzung mglich mit WLAN-Pheripherie ausgestatteten Notebooks und PDA`s Meist an geografischen Orten mit groer Nachfrage an Netzwerkkapaztt Hotspot-Definition
  • Folie 7
  • Stefan Frey01.06.2004 Zugang zum Internet und damit auf das Firmennetzwerk Werden auch als PWLAN bezeichnet (Public Wireless Local Area Network) Plug-and-Play hnliches Verhalten Kein flchendeckendes zellulares Netz sondern punktuelle Lsung Meist kein kostenloser Dienst Sicherheit an Orten mit vielen Nutzern wiederum Risiko Chancen und Risiken von ffenlichen HotSpots
  • Folie 8
  • Stefan Frey01.06.2004 Grundaufbau von HotSpotsarchitekturen Einwahl an einem HotSpots und Marktbersicht Welche Gefahren gibt es und welche Gegenmanahmen? Welche Kostenmodelle gibt und welche werden kommen? Kein UMTS Kein weiteres eingehen auf Protokollebene der Sicherheitsarchitekturen Ziele / Problemstellung u.Abgrenzung
  • Folie 9
  • Stefan Frey01.06.2004 Grundlagen
  • Folie 10
  • Stefan Frey01.06.2004 WLAN`s bestehen grundstzlich aus einem Sender (Accesspoint) und mobilen Endgerten mit WLAN-Peripherie WLAN-Peripherie kann in Gerten integriert sein oder durch Funkkarten realisiert sein Wireless LANS basieren auf dem 1997 vom Institute of Electrial and Electronics Engineers (IEEE) definierten Standard 802.11 Meist 802.11b Umstellung auf 802.11g Zukunft 802.11i WLAN in Firmen in eigenem Subnetz vor der Firewall mit der zwischenschaltung eines VPN-Gateways WLAN
  • Folie 11
  • Stefan Frey01.06.2004 WLAN
  • Folie 12
  • Stefan Frey01.06.2004 Authentifizierung meist nicht lokal sondern zentral und hierarchisch AAA (Authentication, Authorization, Accounting ) Kostenabrechnung mu realisiert werden Bentigte Peripherie : mehrplatzfhiger XDSL-Anschlu Router & DHCP Server (Router kann Funktion bernehmen) Accesspoint Von Nutzerseite her: IP-Einstellungen auf DHCP u. SSID auf any und einen gngigen Browser Anmeldung WLAN bei Grundsrcksgrenzenberschreitung bei RegTP HotSpot
  • Folie 13
  • Stefan Frey01.06.2004 HotSpot
  • Folie 14
  • Stefan Frey01.06.2004 Einwahl nur mit gltiger Kennung Kennung kann erhalten werden durch: Prepaid-Karten SMS-Anforderung Postpaidverfahren Url-Redirection auf Authentifizierungsserver Wallet-Garden freie Internetseiten des Betreibers Einwahl an einem HotSpot
  • Folie 15
  • Stefan Frey01.06.2004 statisch oder temporr Bereitstellung des drahtlosen Dienstes mu naheliegend sein Es gibt 80.000 Hotels 180.000 Restaurants, Cafs und Bars in Deutschland Prestige gerade im Hotelbereich (keine Gewinnabsichten) Marketingeffekt: komplette Ketten werden ausgerstet (Tankstellen) In Flughfen und Bahnhfen eventuell nicht nur Bereiche sondern Gesamtabdeckung durch mehrere Accesspoints Orte der Anwendung von HotSpots
  • Folie 16
  • Stefan Frey01.06.2004 Roaming bedeuted das Wechseln einer von einer Wireless-Netzwerk- Zugiffszone in eine andere Beinhaltet Organisation von mehrere Accespoints physisches Roaming Bewegung eines Nutzers in eine andere Zugriffszone Logisches Roaming bertragung der Sitzung auf den neuen Accespoint Signalstrke entscheidet ber die Auswahl des Accesspoints Eventuell Probleme bei VPN-Verbindungen Roaming
  • Folie 17
  • Stefan Frey01.06.2004 Stand 13.04.04 Quelle: WLAN-Barometer Portel.de Angebotsbersicht
  • Folie 18
  • Stefan Frey01.06.2004 Pro: Mobilitt Informationsgewinnung Firmennetzwerkzugang anstatt ungenutzter Zeit Contra: nicht berall realisierbar Betreiber mssen neben fixen Kosten auch variable Kosten beachten Akzeptanz der Menschen (Schdlichkeit, Unwissen) fehlende Kostentransparenz Pro u. Contra
  • Folie 19
  • Stefan Frey01.06.2004 Problemanalyse
  • Folie 20
  • Stefan Frey01.06.2004 Sicherheitsaspekte: Authentizitt (Indenditten mssen sichergestellt werden) Vertraulichkeit (nur authorisierter Datengewinn darf vorhanden sein) Datenintegritt (Daten drfen nicht manipuliert werden) Laut Definition soll jedem Nutzer Zugang gewhrt werden MAC Authetifizierung zu aufwendig oder umgehbar WEP wird bei Hotspots nicht eingesetzt, da der Schlssel zum ffentlichen Schlssel mutieren wrde HotSpots werden nicht versteckt sondern publiziert Datenverkehr wird nach Authentifizierung unverschlsselt bertragen bertragungsmedium Funk legale Benutzer untereinander knnen gegenseitig Schaden anrichten Sicherheit
  • Folie 21
  • Stefan Frey01.06.2004 Sniffing mitschneiden fremder Datenkommunikation und Auswertung Spoofing Vortuschen fremder Adresse z.B. MAC-Adresse Man-in-the-middle Angriffe Zwischenschalten zwischen zwei Kommunikationspartnern Weiterleitung der Daten in beide Richtungen Angriff mit dem Ziel ein System lahm zu legen (DoS-Attacke) Versuch Aufbau einer Vielzahl von Verbindungsaufbauten Sicherheit
  • Folie 22
  • Stefan Frey01.06.2004 Groe Anzahl an Anbietern trgt nicht gerade zum Erfolg von Hotspots bei Durch den fragmentierten Markt ist eine effektive Nutzung an verschiedenen Standorten nur mit dem Abschlu mehrere Vertrge oder mit dem Eigentum verschiedener Prepaid-Karten mglich Fehlende Transparenz der Kosten Nutzer haben keinen berblick Zugangspreise im globalen Vergleich berdurchschnittlich hoch durchschnittlicher Studenpreis aktuell 8 Abrechnungsprobleme
  • Folie 23
  • Stefan Frey01.06.2004 Sicherheit legale Benutzer mssen untereinander geschzt werden Authentizitt, Vertraulichkeit u. Datenintegritt mssen gesichert werden Abrechnung bergreifendes System zur Abrechnung von verschiedenen HotSpotsbetreibern mu geschaffen werden Zusammenfassung Analyse
  • Folie 24
  • Stefan Frey01.06.2004 Lsungskonzept
  • Folie 25
  • Stefan Frey01.06.2004 Fr HotSpotbetreiber: Trotz Sicherheit sollte das System praktikabel bleiben Client-zu-Client Kommunkation unterdrcken - IP-Filter unntige Dienste u. Berechtigungen im internen Netz minimal halten, falls durchdringen des Angreifers Ports schliessen bis auf die Internetblichen HTTP, FTP, SMTP, POP3 Bandbreite beschrnken Nicht direkt ins Kabelnetz integrieren Aufspren von Annomalien Einsatz Authentifizierungsdienst: meist Radius Sicherheitslsungen
  • Folie 26
  • Stefan Frey01.06.2004 Remote-Authentication-Dial-In-User-Service Zentrale Authentifizierungsstelle Zusammenarbeit mit Datenbank oder Verzeichnissdienst Authentifizierung meist mit SSL-Verschlsselung Keine zerstreute Authentifizierungsdatenbanken sondern zentral erleichterte Datenbankpflege Kann Zeitabrechnung vollziehen und dann an Abrechnungsstelle schicken Radius
  • Folie 27
  • Stefan Frey01.06.2004 Fr Hotspotnutzer: Achten auf Freigabe von Verzeichnissen Benutzung Personal Firewall / Virensoftware Verschlsselung der Datenkommunkation Einsatz von VPN-Software: Punkt-zu-Punkt Verschlsselung Verwendung von PPTP und IPSec Protokollen sehr sicher. Mit dem Firmennetzwerk verbinden wie in der Firma auch. Es gibt schon kostenlose Angebote von den HotSpotsprovidern. Sicherheitslsungen
  • Folie 28
  • Stefan Frey01.06.2004 Sicherheitslsungen VPN
  • Folie 29
  • Stefan Frey01.06.2004 Initiative des ECO-Forums Mittler zwischen HotSpot-Anbietern und den Serviceprovidern Zugang zu mehreren Betreibern ber eine zentrale Initiative Hotspotbetreiber hat nur einen Vertrag mit Greenspot kann aber den Dienst von X-Service-Providern aufweisen Nutzer meldet sich an einem in der Greenspot-Initiative beigetretenen Service-Provider an. Bei Anmeldung wird dann eine Kommunikation unter den verschiedenen Radius-Servern angestoen bis der richtige Service- Provider dann gefunden ist und authentisiert werden kann. Problem: Wiederstand groer Mobilfunkanbieter Greenspot
  • Folie 30
  • Stefan Frey01.06.2004 Open-Source Ansatz Hotspots selber bauen NoCat kann als Gateway verstanden werden eigene Authentifizierungsmethoden ( MySQL) Eigenes Accounting mglich kann von mehreren benutzt werden Nur von Betreibern mit Fachkenntniss durchfhrbar Accounting noch